{"id":7047,"date":"2024-09-21T16:32:55","date_gmt":"2024-09-21T14:32:55","guid":{"rendered":"https:\/\/elementrica.com\/news\/frostygoop-und-der-cyber-kalte-krieg-wie-malware-die-kritische-infrastruktur-von-lviv-stoerte\/"},"modified":"2025-05-03T18:46:08","modified_gmt":"2025-05-03T16:46:08","slug":"frostygoop-und-der-cyber-kalte-krieg-wie-malware-die-kritische-infrastruktur-von-lviv-stoerte","status":"publish","type":"post","link":"https:\/\/elementrica.com\/de\/news\/frostygoop-und-der-cyber-kalte-krieg-wie-malware-die-kritische-infrastruktur-von-lviv-stoerte\/","title":{"rendered":"FrostyGoop und der Cyber-Kalte Krieg: Wie Malware die kritische Infrastruktur von Lviv st\u00f6rte"},"content":{"rendered":"\n
\"\"<\/figure>\n

<\/p>\n\n

Im Januar 2024 richtete sich eine Cyberattacke gegen ein Heizkraftwerk in Lviv, Ukraine [1], wodurch fast 600 Geb\u00e4ude 48 Stunden lang ohne Heizung waren, w\u00e4hrend die Au\u00dfentemperaturen um den Gefrierpunkt lagen. [2] Dragos, ein Unternehmen, das sich auf Cybersicherheit f\u00fcr industrielle Kontrollsysteme (ICS) und Betriebstechnik (OT) spezialisiert hat, hat diesen Vorfall gr\u00fcndlich analysiert. [3] Im April 2024 identifizierte das Dragos-Team die f\u00fcr diesen Angriff verantwortliche Malware und nannte sie FrostyGoop<\/strong>. Diese Malware zielt auf Industrieger\u00e4te ab, die das Modbus TCP\/IP-Protokoll verwenden. Indem er dieses Protokoll ausnutzt, kann FrostyGoop den regul\u00e4ren Betrieb dieser Ger\u00e4te st\u00f6ren, was zu vielen Problemen f\u00fchren kann, wie z.B. dem Abschalten der Ger\u00e4te. Um die Funktionsweise von FrostyGoop besser zu verstehen, ist es wichtig, zun\u00e4chst das Modbus-Protokoll zu besprechen. <\/p>\n\n

<\/a>Modbus<\/h2>\n\n

Das Modbus-Protokoll, das 1979 von Modicon entwickelt wurde, ist eines der am weitesten verbreiteten Kommunikationsprotokolle im industriellen Sektor. Obwohl es \u00fcber vier Jahrzehnte alt ist, bleibt Modbus aufgrund seiner Einfachheit und Zuverl\u00e4ssigkeit ein Eckpfeiler der industriellen Automatisierung. Dieses Protokoll erm\u00f6glicht den Datenaustausch zwischen verschiedenen Ger\u00e4ten, wie z.B. Sensoren, Aktoren, Antrieben und Steuerungen. <\/p>\n\n

Tabelle 1 Einige willk\u00fcrlich ausgew\u00e4hlte Beispiele f\u00fcr L\u00f6sungen, die von einigen der renommiertesten Automatisierungsanbieter angeboten werden. Die Tabelle zeigt, dass Modbus immer noch weit verbreitet ist. <\/em><\/em><\/p>\n\n

Anbieter<\/th>Beispiell\u00f6sung zur Unterst\u00fctzung von Modbus TCP\/IP<\/strong><\/th><\/tr><\/thead>
ABB<\/strong><\/td>Modbus TCP\/IP Feldbusadapter f\u00fcr Antriebe: Link<\/a><\/td><\/tr>
Siemens<\/strong><\/td>Siemens SPS-Serien, die Modbus TCP\/IP unterst\u00fctzen: Link<\/a><\/td><\/tr>
Mitsubishi Electric<\/strong><\/td>Modbus TCP\/IP-Schnittstellenmodul: Link<\/a><\/td><\/tr>
Schneider Electric<\/strong><\/td>Modbus TCP\/IP Kommunikation Device Type Manager: Link<\/a><\/td><\/tr>
Rockwell Automation<\/strong><\/td>Modbus TCP-Kommunikation mit Logix-Steuerungen: Link<\/a><\/td><\/tr><\/tbody><\/table><\/figure>\n

Urspr\u00fcnglich wurde Modbus mit seriellen Kommunikationsprotokollen wie RS-232 und RS-485 verwendet. Als die Industrienetzwerke jedoch immer ausgereifter wurden, wurde Modbus erweitert, um \u00fcber TCP\/IP zu arbeiten, die Protokollsuite, die f\u00fcr die meisten modernen Netzwerke, einschlie\u00dflich des Internets, verwendet wird. Mit Modbus TCP\/IP k\u00f6nnen Ger\u00e4te \u00fcber Ethernet-Netzwerke kommunizieren, was die Integration in die bestehende IT-Infrastruktur erleichtert und die Fern\u00fcberwachung und -steuerung von Industrieprozessen erm\u00f6glicht. <\/p>\n\n

Modbus TCP\/IP arbeitet mit einer Client-Server-Architektur, wie in der Abbildung dargestellt. Bei diesem Aufbau ist der Server in der Regel ein Ger\u00e4t wie ein Sensor, ein Messger\u00e4t oder ein Stellglied, das Daten in bestimmten Speicherpl\u00e4tzen, den Registern<\/strong>, speichert. Der Client, z.B. eine SPS (Speicherprogrammierbare Steuerung) oder ein SCADA-System (Supervisory Control and Data Acquisition), fordert Daten vom Server an oder sendet Befehle an ihn. <\/p>\n

\n
\"\"<\/figure><\/div>\n

Abbildung 1 Modbus TCP\/IP Client\/Server Architektur. Der Modbus TCP\/IP Client kann industrielle Komponenten mit einem implementierten Modbus TCP\/IP Server steuern (ausgew\u00e4hlte Werte in Register schreiben) oder \u00fcberwachen (ausgew\u00e4hlte Registerwerte lesen). <\/p>\n\n

Eines der wichtigsten Konzepte in Modbus ist die Verwendung von Holding-Registern. Holding-Register sind 16-Bit-Speicherpl\u00e4tze in einem Serverger\u00e4t, in denen verschiedene Daten gespeichert werden k\u00f6nnen. Mit diesen Registern kann der Client Daten direkt lesen oder schreiben. Ein Client kann Holding-Register vom Server lesen, um Daten wie Sensorwerte oder Statusinformationen zu erhalten. Wenn Sie z.B. einen Temperatursensor mit einem implementierten Modbus-Server haben, k\u00f6nnte die aktuelle Temperatur in einem bestimmten Holding-Register gespeichert sein. Der Client kann den Temperaturwert abrufen, indem er dieses Register zur \u00dcberwachung oder Weiterverarbeitung ausliest. Neben dem Lesen von Daten k\u00f6nnen Clients auch Daten in Holding-Register schreiben. Dies wird in der Regel zur Steuerung von Ger\u00e4ten verwendet. Ein Client kann zum Beispiel einen Wert in ein Holding-Register schreiben, um ein Ziel zu setzen <\/p>\n\n

Temperatur eines Thermostats oder die Geschwindigkeit eines Motors einstellen. Diese F\u00e4higkeit erm\u00f6glicht die Echtzeit-Steuerung von industriellen Prozessen auf der Grundlage dynamischer Eingaben. <\/p>\n\n

Aufgrund des Alters des Modbus-Protokolls weist es nach modernen Sicherheitsstandards eine erhebliche Einschr\u00e4nkung auf – es fehlt die Unterst\u00fctzung f\u00fcr Authentifizierung und Autorisierung. Um die Kommunikation mit einem Modbus TCP\/IP-Server herzustellen, ben\u00f6tigt ein Client nur die folgenden Informationen: <\/h3>\n\n